“随机8位数字病毒”手动清除办法及安全建议

2008-02-23 07:23:57来源：互联网阅读 ()

最近，江民反病毒中心监测到，一种采用“映像劫持”技术的病毒正在互联网上大肆流窜，该病毒主要特征为：病毒运行后，会产生一个由数字和字母随机组成的8位名称的病毒进程，并且尝试关闭多款杀毒软件、防火墙和安全工具进程，使杀毒操作及其困难。而且该病毒还会在每个硬盘分区根目录下生成Autorun.inf和随机8位的EXE，达到双击硬盘激活病毒，此外，该病毒还会通过U盘，MP3，移动硬盘等移动储存传播，这样就大大增加了病毒的传播速度。

江民反病毒专家建议，日常操作电脑时请注意以下几点防范措施：

1. 保管好自己的U盘，MP3，移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件，如KV2007 独有的U盘盾技术，可以免疫所有U盘病毒通过双击U盘时运行。

2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。

3. 即时更新杀毒软件病毒库，做到定时升级，定时杀毒。

4. 安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。

对于未安装杀毒软件或者杀毒软件失效的情况下，建议使用以下办法手动清除：

1. 请先到网上下载IceSword工具，并将该工具该名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。

2. 利用IceSword的文件管理功能，展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat 和 dll 。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。

3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法察看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。

4、利用IceSword的注册表管理功能，展开注册表项到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
删除里面的IFEO劫持项。

此时就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，全盘杀毒。